エンティティリスクポリシーの検出設定

エンティティリスクポリシールールに条件とアクションを定義する際に使用する構成設定について説明します。

次の表で、各検出タイプに対応するエンティティリスクレベルを確認してください。ルール条件を定義するときは、検出を選択した上で、一致するエンティティリスクレベルを選択します。

検出

エンティティリスクレベル

推奨アクション

This wasn't me(これは自分ではない)

ユーザーが、Oktaが生成するセキュリティ通知メールに対応したか、Okta End-User Dashboard[Recent Activity(最近のアクティビティ)]ページで[Report(レポート)]をクリックしました。

Universal Logout。「対応アプリにUniversal Logoutを構成する」を参照してください。
Session influenced User Risk(セッションの影響を受けるユーザーリスク)

エンティティユーザーリスクは、ユーザーセッションに関連するリスクの変化により影響を受けます。IPまたはデバイスコンテキスト内の変化が原因で、セッションリスクが変更する可能性があります。この検出は、セッションリスクレベルが高に変化した場合にのみ生じます。

委任Workflowを実行するか、何もアクションを実行しません。
Suspected Brute Force Attack(ブルートフォース攻撃の疑い)

Oktaが、パスワードを取得しようとした、またはorgへのMFAベースのアクセスを得ようとした、潜在的な脅威の実行集団による試みを検出します。

調査を開始するようにセキュリティオペレーションセンター(SOC)チームに通知する委任Workflowを実行します。
Okta Threat Intelligence(Okta脅威インテリジェンス)

Okta脅威インテリジェンスは、洗練された脅威の実行集団のアクティビティを、彼らが使用するインフラストラクチャーの署名を検出して特定します。たとえば、Oktaは、フィッシングインフラストラクチャーがユーザーアカウントを攻撃するために使用されたこと、アカウントがセキュリティ侵害を受けた可能性があることを検出します。

Universal Logout。「対応アプリにUniversal Logoutを構成する」を参照してください。または、調査を開始するようにSOCチームに通知する委任Workflowを実行することもできます。

手動で次のアクションを実行することもできます。

  • パスワードの変更を強制
  • Authenticatorへの再登録を強制
Admin Reported User Risk(管理者から報告されるユーザーリスク)

管理者は、Admin Consoleのユーザーのプロファイルページで、またはユーザーリスクAPIを使用して、エンティティリスクレベルを上げることができます。エンティティリスクレベルを上げると、自動的に「高」に変化します。

低または高 Universal Logout。「対応アプリにUniversal Logoutを構成する」を参照してください。
Entity Critical Action From High Threat IP(高脅威IPからのエンティティの重大アクション)

Oktaは、高脅威IPアドレスから重大アクションが実行されたことを検出しました。重大アクションの例として以下が含まれます:

  • MFA Authenticatorの登録

  • パスワードの変更

  • 管理者ダッシュボードへのアクセス

Universal Logout。「対応アプリにUniversal Logoutを構成する」を参照してください。
Security Events Provider Reported Risk(セキュリティイベントプロバイダーから報告されるリスク)

統合されたセキュリティイベントプロバイダーがリスクイベントを報告したときに、この検出が起こります。

低、中、高 Universal Logout。「対応アプリにUniversal Logoutを構成する」を参照してください。
Suspicious App Access(不審なアプリアクセス)

Identity Threat Protectionが、アプリのセッションクッキーを収集しようとする攻撃者の試みを検出しました。たとえば、悪人が盗んだセッションクッキーを使用して、複数のアプリへのアクセスを試みました。

調査を開始するようにSOCチームに通知する委任Workflowを実行するか、何もアクションを実行しません。

関連項目

Identity Threat Protectionの主要な概念

Identity Threat Protectionでの可観測性

Identity Threat Protectionによるリスク修復

共有信号レシーバーを構成する